Blog

Archivo por meses: enero 2011

DÍA DE LA PROTECCIÓN DE DATOS

El próximo 28 de enero se celebra en Europa el día de la Protección de Datos, evento que este año cumple su quinta edición. Se trata de una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los Estados Miembros de la Unión Europea cuyo objeto es impulsar entre los ciudadanos el conocimiento de los derechos y deberes nacidos como consecuencia de la protección de datos.

En este evento, se va a conmemorar asimismo, el treinta aniversario de la firma del Convenio 108, del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, y en este contexto, tanto la Comisión Europea como el Consejo de Europa celebrarán una jornada en Bruselas en la que se analizará la evolución del derecho a la protección de datos con el objeto de buscar estándares internacionales que garanticen la protección de este derecho.

Asimismo, se abrirá una consulta pública abierta a ciudadanos, Estados, empresas e instituciones que busca la modernización del Convenio 108.

El Convenio 108 del Consejo de Europa es considerado la piedra angular del derecho a la protección de datos. Entre sus considerandos establece la necesidad de ampliar la protección de los derechos y de las libertades fundamentales, concretamente el derecho a la vida privada, teniendo en cuenta la intensificación de la circulación a través de las fronteras de los datos de carácter personal que son objeto de tratamientos automatizados.

Este Convenio recoge en su capítulo II los principios en los que hoy se sustenta la Ley Orgánica de Protección de Datos de Carácter Personal, como son el principio de calidad de los datos, principio de especial protección en función del tipo de datos de carácter personal, principio de seguridad y se reconoce el derecho de todo ciudadano a conocer la existencia de un fichero automatizado de datos, sus finalidades y la identidad de la autoridad que controla el fichero, estableciéndose también la posibilidad de rectificar y cancelar los datos.

España ratificó el citado Convenio en enero de 1984, siendo entonces necesaria la aprobación de una ley que regulara el derecho a la protección de datos, que finalmente dio lugar a la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. La llamada LORTAD estuvo vigente hasta el 14 de enero del año 2000, fecha en la que entró en vigor la LOPD que a diferencia de la LORTAD extiende el derecho a la protección de datos a tratamientos tanto automatizados como no automatizados, y cuya promulgación fue consecuencia de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Vista esta breve exposición de la evolución del derecho a la protección de datos, no cabe duda de que se trata de un derecho de reciente creación. No obstante, no debe dejar de tenerse en cuenta que han pasado treinta años desde la firma del Convenio 108, veintisiete desde que España lo ratificó, diecinueve desde la promulgación de la LORTAD y once de entrada en vigor de la LOPD, y que a día de hoy siguen publicándose estudios en los que se concluye que cuatro de cada cinco pymes no cumplen la normativa de protección de datos.

Teniendo en cuenta que estamos ante un derecho fundamental y que la LOPD impone multas de hasta 600.000 euros, entendemos que el incumplimiento generalizado de esta normativa se debe al desconocimiento de la misma y en casos residuales a una actitud pasiva por parte de algunas empresas.

Por este motivo es importante informar a los ciudadanos y a las empresas de los derechos y obligaciones derivados de la normativa de protección de datos, por lo que la celebración de eventos como el “Día de la protección de datos” es necesario siempre que se le de la suficiente difusión para llegar a todos los ciudadanos y que se acompañe de una serie de actos que proporcionen información y formación sobre este derecho.

Publicado en Redacción Médica el Jueves, 27 de enero de 2011. Número 1374 Año VII.


LA LEY INTEGRAL DE IGUALDAD DE TRATO Y NO DISCRIMINACIÓN, Y LA PRUEBA DIABÓLICA


La última norma social de la legislatura que desarrollará derechos constitucionales, el anteproyecto de Ley Integral para la Igualdad de Trato y la No Discriminación, ha sido presentada por el Gobierno en este mes. La iniciativa facilitará la lucha contra la discriminación por distintas causas, creará un organismo estatal que aglutinará las funciones y recursos en torno a esta materia e incluirá un nuevo régimen sancionador. Así, discriminar a alguien podrá acarrear multas de hasta 500.000 euros en los casos más graves.

La ley, que está previsto que entre en vigor en 2013, no conllevará, en cualquier caso, una reforma del Código Penal. El anteproyecto que coordinará el Ministerio de Sanidad, Política Social e Igualdad arranca con tres grandes objetivos: la ampliación de los recursos jurídicos de quienes sean discriminados, la identificación y el estudio de las causas de discriminación, y la sensibilización de la ciudadanía.

Tras la primera lectura del anteproyecto de Ley, que tiene como objetivo de forma simple el que “nadie pueda sentirse humillado” por razones de nacimiento, raza, sexo, convicción, discapacidad, edad, religión, identidad sexual o enfermedad, la valoración general ha sido especialmente controvertida, entre otras cuestiones en lo concerniente al art. 28.

El primer apartado del artículo 28 del texto establece que “cuando el interesado alegue discriminación y aporte un principio de prueba sobre su existencia, corresponderá a la parte demandada o a quien se impute la situación discriminatoria la aportación de una justificación objetiva y razonable, suficientemente acreditada, de las medidas adoptadas y su proporcionalidad”.

Es lo que en términos jurídicos se llama “inversión de la carga de la prueba”. En principio, el que alega algo en un tribunal tiene la obligación de demostrarlo. Solo en algunos casos, en los que se entiende que las partes en conflicto no tienen las mismas armas, para defender sus posiciones y que el que presenta la demanda está en clara desventaja, se le exime de la obligación de probar su acusación. Se trata de un principio consolidado en el llamado Derecho de daños, especialidad que ocurre en el ámbito del Derecho civil para la ordenación de las responsabilidades en materia sanitaria. Es el profesional sanitario quien debe probar que la causa de lo que le ha pasado al paciente fue otra.

Ahora la futura norma, según el Anteproyecto de ley, castigará todo tipo de discriminaciones directas e indirectas, las inducciones, órdenes o instrucciones de discriminar, la discriminación por asociación, por error o el acoso discriminatorio. Los motivos pueden ser el sexo, la religión, el estado de salud, los de identidad sexual y enfermedad, que se suman a los recogidos en el artículo 14 de la Constitución Española (CE) y a los incluidos en la normativa comunitaria y también cuestiones que en estos momentos son difíciles de probar ante los tribunales como la edad o el aspecto físico, o cualquier “otra condición o circunstancia personal o social”. Las decisiones de los jueces y tribunales requieren la apreciación y valoración de circunstancias que, a veces, no están en disposición de los propios perjudicados. Por eso, la doctrina y jurisprudencia más avanzadas eximen al demandante de tener que aportar la prueba de la conducta del demandado si las circunstancias lo hacen imposible o muy difícil.

El no poderse acoger a lo dispuesto en el Art.24 de la Constitución Española, que reconoce el derecho a la presunción de inocencia ha recibido numerosas críticas desde todos los sectores y especialmente los jurídicos al entender que dar facilidades para la presentación de denuncias sin pruebas -y por tanto, incluso falsas- contribuiría no solo a colapsar los tribunales, sino a utilizarlos como herramienta de extorsión.

Publicado en Redacción Médica el martes, 25 de enero de 2011. Número 1382. Año VII.


OBLIGACIÓN DE LOS CENTROS SANITARIOS DE ELABORAR UN DOCUMENTO DE SEGURIDAD


Una de las obligaciones que exige la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal es la de implementar unas medidas técnicas y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida o accesos no autorizados. Las medidas de seguridad están recogidas en el Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de desarrollo de la citada Ley y una de ellas es la obligación de todas las organizaciones de disponer de un Documento de Seguridad.

En este documento deben quedar reflejadas las medidas de seguridad que la organización debe cumplir, que en el caso de hospitales y centros sanitarios serán de nivel alto puesto que se recaban datos de salud de los pacientes. Asimismo, se deben reflejar los protocolos adoptados a nivel interno para llevar a cabo las medidas de seguridad a las que están obligados, es decir, se deberán definir las políticas internas para la realización de copias de seguridad, para la asignación de contraseñas, para la destrucción del papel, etc…

En concreto, el artículo 88 del Reglamento que desarrolla la LOPD, establece que el Documento de Seguridad, deberá recoger como mínimo los siguientes aspectos:

Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
Procedimiento de notificación, gestión y respuesta ante las incidencias.
Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

Si bien se trata de un documento interno de cada organización, puede ser requerido por la Agencia Española de Protección de Datos y en este caso deberá ser puesto a su disposición, motivo por el que su contenido debe estar siempre actualizado de manera que responda a la situación real del centro sanitario.

A efectos prácticos, la única forma de garantizar que este Documento se mantiene actualizado es asignar esta tarea a una persona de su organización, que en caso de ser un fichero que deba cumplir las medidas de seguridad de nivel medio o alto, será el responsable de seguridad. Esta figura, de conformidad con el artículo 3 del Reglamento que desarrolla la LOPD tiene la función de coordinar y controlar las medidas de seguridad aplicables. Así, se encargará de llevar un registro de todas las incidencias del personal con acceso a los datos, de verificar que se dispone de protocolos internos para el cumplimiento de las medidas de seguridad y que estos se llevan a cabo o de analizar los resultados obtenidos en las auditorías técnicas bienales, entre otras tareas.

Asimismo, cuando se produzcan cambios relevantes en la organización, en los sistemas de información o en los criterios organizativos de la información, se deberá proceder a la revisión del Documento de Seguridad y a su actualización.

Por tanto, para el correcto cumplimiento de la normativa de protección de datos no sólo es necesario cumplir con las medidas de seguridad que el Reglamento exige, sino que éstas deben quedar recogidas y definidas en el Documento de Seguridad, documento que debe mantenerse actualizado en todo momento y que puede ser requerido por la Agencia Española de Protección de Datos.

Publicado en Redacción Médica el martes, 20 de enero de 2011. Número 1379. Año VII.


LA NORMALIDAD DE LA LEY ANTITABACO

La Ministra de Sanidad, Política social e Igualdad, Leire Pajín, ha asegurado que la ley antitabaco está siendo “absolutamente respetada” y se cumple con total normalidad “salvo algunas excepciones muy concretas”. Normalidad. Es la conclusión, que el Ministerio de Sanidad, Política Social e igualdad aplica a las primeras semanas de vida de la normativa contra el tabaco y probablemente sea así, aunque cuando uno pasa por los grandes edificios de oficinas, cafeterías, restaurantes ectra. y se contempla a los grupos de personas fumando al frío, sea obligado pensar en esta supuesta “normalidad”.

No parece normal que junto a una Ley contra el tabaco, paralelamente se decida subir los impuestos por venta de tabaco para 2011 con el objetivo de ingresar unos 780 millones de euros como fin económico y se justifique por la Ministra Elena Salgado que es también para reducir su consumo (sic).

No parece tampoco normal que como parte del plan de ajustes anunciado el pasado 2 de diciembre en el Congreso, hayan aumentado las ventas de algunas marcas de cigarrillos baratas, resultando sorprendente que mientras el precio medio de la mayor parte de cajetillas de tabaco ha subido, el de las nuevas marcas más baratas se mantenga estable.

Tampoco va a ser normal que no se haya procedido a la revisión obligada que debería hacerse tanto del Estatuto de los Trabajadores como a la mayor parte de Convenios Colectivos, si tenemos en cuenta lo dispuesto en el Art. 34.4 regulador de las pausas durante la jornada de trabajo:

“Siempre que la duración de la jornada diaria continuada exceda de 6 horas, debe establecerse un periodo de descanso -también llamado tiempo de bocadillo- cuya duración no sea inferior a 15 minutos.”
“Este tiempo se considera de trabajo efectivo cuando se establezca por convenio o contrato de trabajo”.

Debe tenerse en cuenta que si bien se trata de un tiempo retribuido, no siempre se computa como jornada de trabajo efectivo, pues para ello es exigible que se pacte expresamente.

Para los trabajadores menores de 18 años, este periodo debe tener una duración mínima de 30 minutos, y debe establecerse siempre que la duración de la jornada continuada exceda de 4 horas y media”.

Pensemos en el tiempo de duración de bajar a la calle y consumo de un cigarrillo…

Discutible es también la imprecisión de la Ley en cuanto a las distancias en las que no se puede fumar en torno a los recintos hospitalarios o los colegios. Esta imprecisión es una evidencia más de la mala técnica jurídica empleada en la elaboración de esta norma.

Y por último, tampoco es normal, no saber a la fecha de hoy, a quién corresponde la inspección, en el medio, de la denuncia y la sanción, ¿se van a crear órganos de inspección específicos con presunción de veracidad que aseguren el cumplimiento de la Ley?.


El Tribunal Supremo prescribe que para que la denuncia sea efectiva se precisa fundamentalmente:

1.ª– Que la realice un agente de la autoridad el cual posee lo que denominamos «presunción de veracidad» y seguirá el trámite expediente y descargo preceptivo del procedimiento administrativo.

2.ª– Que en el caso de que estas denuncias sean realizadas por cualquier ciudadano se han de someter al procedimiento perteneciente a las denominadas denuncias voluntarias que todo ciudadano tiene derecho a efectuar, y no como un trámite de la instrucción de un procedimiento que sólo la autoridad por si puede realizar.

En el procedimiento para las denuncias voluntarias efectuadas por los particulares se precisa una ratificación del denunciante, y la aportación de las pruebas pertinentes con el fin de acreditar que el hecho denunciado es cierto. No olvidemos que rige el Principio de Inocencia en favor del denunciado del Artículo 24. 2 de nuestra carta Magna y no el polémico pseudo Principio de Presunción de Veracidad de la denuncias de los Agentes de la Autoridad.

No soy fumador, aunque lo fui de forma voluntaria ya hace más de treinta años y dejé de serlo por propia voluntad, tras un “error diagnóstico”, al que agradezco sirviera para conformar la voluntad de mi decisión y me permitiera en el ejercicio de mi libertad individual dejar de ser fumador.

Es evidente que debe existir una legislación que proteja la salud de todos pero ello no debe ser incompatible con el ejercicio de la libertad individual. Lo sensato es que existan establecimientos donde se pueda fumar y otros donde no se pueda y que cada ciudadano elija donde quiere estar. Tan fácil y sencillo como eso. Y si no es así, si la libertad de elección no es una opción a respetar por el legislador, no seamos hipócritas y prohíbase radicalmente el tabaco; renunciando el Estado a los enormes ingresos que le proporciona la venta de esta droga legal.

Publicado en Redacción Médica el Martes, 18 de enero de 2011. Número 1377 Año VII.


EL REGISTRO DE MARCAS

Ya hemos comentado en otras ocasiones la importancia de tener las marcas registradas debido a que otorgan a su titular el derecho exclusivo a utilizarlas en el tráfico económico, impidiendo que terceros ofrezcan productos o servicios similares o idénticos con la mismas marcas o parecidas, que pueda suponer un riesgo de confusión para los consumidores.

El sector sanitario no debe mantenerse al margen de este tipo de derechos puesto que hoy en día existe una fuerte competencia en el sector de la sanidad privada que realiza un importante esfuerzo para distinguirse de sus competidores directos, no sólo a través de una prestación asistencial de primera calidad, sino conjugando una serie de servicios que permiten su diferenciación en el mercado. El conjunto global de estos servicios constituye una marca que permite al ciudadano realizar su elección a la hora de dirigirse a un centro o a otro.
Conociendo los beneficios que implica tener una marca registrada, hay que analizar qué se entiende por marca, para saber qué es lo que debemos proceder a registrar. La marca está definida en la Ley 17/2001, de 7 de diciembre, de Marcas, como un signo susceptible de representación gráfica que sirve para distinguir en el mercado los productos o servicios que una empresa ofrece frente a los de las demás.

Hay que tener en cuenta que cuando la Ley habla de signos se refiere a palabras o combinaciones de palabras, imágenes, figuras, símbolos y dibujos, letras, cifras y sus combinaciones. Asimismo, incluye las formas tridimensionales tales como los envoltorios, los envases y la forma del producto o de su presentación, los signos sonoros y cualquier combinación de los signos que, con carácter enunciativo, se mencionan en los apartados anteriores.
No obstante, no podrá registrarse cualquier marca ya que la Ley establece una serie de prohibiciones absolutas y prohibiciones relativas. Entre las prohibiciones absolutas, de conformidad con el art. 5 de la citada Ley de Marcas encontramos la prohibición de registrar signos que sean contrarios a la Ley, al orden público o a las buenas costumbres, o los que puedan inducir al público a error, por ejemplo sobre la naturaleza, la calidad o la procedencia geográfica del producto o servicio, o aquéllos que reproduzcan o imiten el escudo, la bandera, las condecoraciones y otros emblemas de España, sus Comunidades Autónomas, sus municipios, provincias u otras entidades locales, a menos que medie la debida autorización, entre otros ejemplos.

Existen también una serie de prohibiciones relativas, estableciéndose que no cabe registrar marcas anteriores, es decir que ya estén inscritas y que designen a servicios o productos idénticos, ni tampoco signos que, por ser idénticos o semejantes a una marca anterior y por ser idénticos o similares los productos o servicios que designan, puedan generar un riesgo de confusión en el público.

Hay que tener en cuenta que el derecho de propiedad sobre la marca se adquiere por el registro válidamente efectuado de conformidad con las disposiciones de la presente Ley y que el organismo que se encarga de la concesión del título de marca, tras el examen de las solicitudes correspondientes es la Oficina Española de Patentes y Marcas, organismo autónomo que depende del Ministerio de Turismo, Industria y Comercio.

En una situación de crisis y de saturación del mercado sanitario privado es vital conseguir una marca que genere confianza en los ciudadanos, distinguiéndola del resto de competidores, pero para ello es importante hacer un análisis previo de la marca a registrar para no caer en prohibiciones ni encontrar terceros que se opongan al registro solicitado por entender que la marca pretendida podría dar lugar a confusión en los pacientes. Y a la inversa, una vez que se ha procedido al registro de la marca es importante hacer un seguimiento para evitar que sean otros los que soliciten el registro de marcas con signos idénticos o similares que pudieran generar confusión en los ciudadanos.

Publicado en Redacción Médica el Jueves, 13 de enero de 2011. Número 1374 Año VII.


Entrega errónea de una historia clínica


La Agencia de Protección de Datos de la Comunidad de Madrid ha resuelto recientemente la denuncia interpuesta a un Hospital del Servicio Madrileño de Salud por el familiar de un fallecido que solicitó su historia clínica y le fue entregada documentación perteneciente a otros pacientes. Esto es, se solicita un historial clínico de conformidad con el artículo 18 de la Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, y al entregarlo, se adjunta documentación que pertenece a otros pacientes. Este hecho lleva a la familia a denunciar al hospital por entender que no se están cumpliendo las medidas de seguridad adecuadas que garanticen la confidencialidad de los datos sanitarios de los pacientes.

¿Qué consecuencias puede tener una conducta de este tipo desde el punto de vista de la normativa de protección de datos? En el caso al que hacemos alusión, la Agencia de Protección de Datos de la Comunidad de Madrid ha determinado que esta conducta conlleva una vulneración de los artículos 4 y 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, tipificada como una infracción grave en el artículo 44.3.d) de la citada Ley: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave”.

Entiende la Agencia madrileña que los hechos se han debido a un posible fallo en la gestión de la documentación entregada por el Hospital a la denunciante, al incluir entre la información clínica del fallecido documentos relativos a otros pacientes, dando como resultado la vulneración del principio de calidad en el tratamiento de los datos de los pacientes incluidos en el fichero de Historias Clínicas del Hospital, previsto en el referido artículo 4 de la LOPD que establece que los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado; y a un posible error en la organización y gestión de la documentación incluida en el fichero de Historias Clínicas, cuya consecuencia fue la entrega a la familia del paciente fallecido de datos relativos a otros pacientes del hospital con los que no guardaban relación familiar alguna, lo que indica un fallo de seguridad, vulnerando lo previsto en el artículo 9 de la LOPD, que dispone que el responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Si bien se determina que las medidas de seguridad adoptadas por el Hospital pueden ser adecuadas a lo exigido en la normativa de protección de datos, el propio centro reconoce la entrega de documentación errónea, considerándola como un hecho aislado y excepcional. Sin embargo, manifiesta la Agencia, que este hecho no deja de constituir una vulneración del principio de calidad de los datos y del principio de implementación de las medidas de seguridad.

En cuanto a la sanción impuesta, en este caso, al tratarse de una Administración Pública se limita declarar la vulneración y comunicarla a las entidades responsables así como al Defensor del Pueblo, pero si se tratara de un hospital privado estaríamos hablando de una multa que oscilaría entre los 60.000 y los 300.000 euros. Es por esto que no es suficiente con implementar las medidas de seguridad, sino que es necesario formar y concienciar al personal para que en el manejo diario de la documentación clínica sean minuciosos y conozcan los riesgos que puede conllevar.

Publicado en Redacción Médica el martes, 11 de enero de 2011. Número 1372. Año VII.